Cisco PIX Firewalle cispix


IDZ DO
IDZ DO
PRZYKŁADOWY ROZDZIAŁ
PRZYKŁADOWY ROZDZIAŁ
Cisco PIX. Firewalle
SPIS TRERCI
SPIS TRERCI
Autor: zepół autorów
Tłumaczenie: Adam Jarczyk
KATALOG KSIĄŻEK
KATALOG KSIĄŻEK
ISBN: 83-246-0187-2
Tytuł oryginału: Cisco PIX Firewalls:
KATALOG ONLINE
KATALOG ONLINE
Configure, Manage, Troubleshoot
Format: B5, stron: 544
ZAMÓW DRUKOWANY KATALOG
ZAMÓW DRUKOWANY KATALOG
Kompendium wiedzy na temat zapór sieciowych PIX
TWÓJ KOSZYK
TWÓJ KOSZYK
" Tworzenie różnych kontekstów zabezpieczeń
DODAJ DO KOSZYKA
DODAJ DO KOSZYKA " Nowe możliwoSci Cisco PIX Security Appliance Software w wersji 7.0
" Reagowanie na ataki i ochrona przed nimi
Współczesne społeczeństwo jest w dużym stopniu zależne od komunikacji
CENNIK I INFORMACJE
CENNIK I INFORMACJE
elektronicznej. Bezpieczeństwu informacji krążących w sieci poSwięca się coraz
więcej uwagi. Najcenniejszymi dobrami przedsiębiorstw stały się informacje zapisane
ZAMÓW INFORMACJE
ZAMÓW INFORMACJE na dyskach twardych. Dane te mają często ogromną wartoSć i poufny charakter,
O NOWORCIACH
O NOWORCIACH
zatem rosną nakłady na ich ochronę. Stworzenie skutecznej polityki bezpieczeństwa
danych to już nie kaprys i snobizm, lecz koniecznoSć. Jednak nawet najlepsze zasady
ZAMÓW CENNIK
ZAMÓW CENNIK
są niewiele warte bez zapór sieciowych.
Książka  Cisco PIX. Firewalle zawiera wyczerpujące informacje na temat najnowszej
serii zapór sieciowych firmy Cisco opartych na systemie operacyjnym PIX w wersji 7.0.
CZYTELNIA
CZYTELNIA
W przejrzysty sposób opisuje funkcję dostępu zdalnego, metody wykorzystywania
wirtualnych sieci prywatnych oraz sposoby rozszerzania zasięgu sieci korporacyjnej
FRAGMENTY KSIĄŻEK ONLINE
FRAGMENTY KSIĄŻEK ONLINE
na pracowników zdalnych, oddziały znajdujące się w innych miastach, partnerów,
dostawców i klientów firmy. Znajdziesz w niej także szczegółowy opis wszystkich
ulepszeń dodanych do wersji 7.0, takich jak interfejsy oparte na wirtualnych sieciach
lokalnych (VLAN), dynamiczny routing OSPF przez VPN, proxy uwierzytelniania HTTPS,
obsługa kart przyspieszających VPN (VAC+) i obsługa serwera DHCP na więcej niż
jednym interfejsie.
" Typy zapór sieciowych
" Zasada działania zapory sieciowej
" Opisy firewalli z serii CiscoPIX
" Obsługa poprzez interfejs konfiguracyjny
" Instalacja i korzystanie z ASDM
Wydawnictwo Helion
" Wykrywanie włamań
ul. Chopina 6
" Konfiguracja usług firewalli CiscoPIX
44-100 Gliwice
" Zarządzanie zaporą sieciową PIX
tel. (32)230-98-63
" Konfiguracja mechanizmów VPN
e-mail: helion@helion.pl
" Monitorowanie wydajnoSci firewalla
Zabezpiecz sieć, stosując najlepsze narzędzia
Podziękowania ..................................................................................9
O autorach .....................................................................................11
Redaktor merytoryczny i autor przedmowy .....................................................................11
Współautorzy ...................................................................................................................12
Recenzent merytoryczny i współautor .............................................................................14
Przedmowa .....................................................................................15
Rozdział 1. Bezpieczeństwo i zapory sieciowe  wprowadzenie .........................17
Wprowadzenie ..................................................................................................................17
Znaczenie bezpieczeństwa ...............................................................................................18
Co oznacza bezpieczeństwo informacji? ...................................................................18
Wczesne lata bezpieczeństwa informacji ...................................................................20
Brak zabezpieczeń i Internet ......................................................................................21
Zagrożenie rośnie .......................................................................................................21
Ataki ...........................................................................................................................22
Tworzenie zasad bezpieczeństwa .....................................................................................24
Cisco Wheel .....................................................................................................................27
Zabezpieczenie środowiska .......................................................................................28
Monitorowanie działań ..............................................................................................29
Testowanie bezpieczeństwa .......................................................................................30
Poprawa bezpieczeństwa ...........................................................................................32
Pojęcia związane z zaporami sieciowymi ..........................................................................32
Czym jest zapora sieciowa? .......................................................................................32
Typy zapór sieciowych ..............................................................................................34
Połączenia przychodzące i wychodzące ....................................................................37
Interfejsy zapory sieciowej: wewnętrzne, zewnętrzne i DMZ ...................................38
Zasady zapór sieciowych ...........................................................................................41
Translacja adresów .....................................................................................................41
Wirtualne sieci prywatne ...........................................................................................44
Certyfikaty Cisco ..............................................................................................................46
Cisco Firewall Specialist ............................................................................................46
Cisco Certified Security Professional ........................................................................47
Cisco Certified Internetwork Expert Security ............................................................48
Egzamin CSPFA ........................................................................................................49
Podsumowanie .................................................................................................................52
Rozwiązania w skrócie .....................................................................................................53
Najczęściej zadawane pytania ..........................................................................................55
4 Cisco PIX. Firewalle
Rozdział 2. Zapory sieciowe PIX  wprowadzenie .............................................57
Wprowadzenie ..................................................................................................................57
Cisco PIX 7.0 ...................................................................................................................58
Najważniejsze zmiany w Cisco PIX 7.0 ....................................................................59
Co nowego w PIX 7.0? ....................................................................................................60
Wybrane polecenia dodane do wersji PIX 7.0 .................................................................60
Polecenia zmodyfikowane ................................................................................................61
Z którymi poleceniami się pożegnaliśmy? .......................................................................61
Funkcje zapór sieciowych PIX .........................................................................................62
Wbudowany system operacyjny ................................................................................62
ASA  Adaptive Security Algorithm .......................................................................63
Obsługa zaawansowanych protokołów ......................................................................72
Obsługa VPN .............................................................................................................74
Filtrowanie URL ........................................................................................................74
Translacja adresów .....................................................................................................75
Urządzenia PIX ................................................................................................................76
Modele .......................................................................................................................76
Licencjonowanie i aktualizacje oprogramowania ............................................................79
Licencjonowanie ........................................................................................................80
Aktualizacja oprogramowania ...................................................................................81
Dostęp administracyjny .............................................................................................88
Odzyskiwanie haseł ...................................................................................................92
Interfejs wiersza poleceń ............................................................................................93
Konfiguracja interfejsów ...........................................................................................97
Zarządzanie konfiguracjami .....................................................................................101
Inicjalizacja obrazów ...............................................................................................105
Ustawienia fabryczne konfiguracji ..........................................................................106
IPv6 ................................................................................................................................109
Różnice pomiędzy IPv4 i IPv6 ................................................................................109
Adresy IPv6 .............................................................................................................110
Przestrzeń adresów IPv6 ..........................................................................................112
Podstawy adresowania IPv6 ....................................................................................113
Podsumowanie ...............................................................................................................115
Rozwiązania w skrócie ...................................................................................................118
Pytania i odpowiedzi ......................................................................................................119
Rozdział 3. Działanie zapory sieciowej PIX ......................................................121
Wprowadzenie ................................................................................................................121
Konteksty bezpieczeństwa .............................................................................................122
Absolutne minimum: ruch wychodzący .........................................................................124
Konfiguracja dynamicznej translacji adresów .........................................................125
Blokowanie ruchu wychodzącego (definiowanie ACL) ..........................................129
Otwarcie dostępu do sieci z zewnątrz ............................................................................136
Statyczna translacja adresów ...................................................................................137
Listy dostępu ............................................................................................................139
Wyjściowe ACL (nowe) .................................................................................................143
Czasowe ACL (nowe) ....................................................................................................145
Kontrola NAT (nowe) ....................................................................................................147
Omijanie NAT ................................................................................................................148
Tożsamościowa NAT ...............................................................................................148
Wyjątki NAT ...........................................................................................................148
Statyczna tożsamościowa NAT ...............................................................................149
Policy NAT ....................................................................................................................150
Spis treści 5
Grupowanie obiektów ....................................................................................................152
Konfiguracja i korzystanie z grup obiektów ............................................................152
TurboACL ................................................................................................................155
Polecenia conduit i outbound ...................................................................................156
Studium przypadku ........................................................................................................156
Podsumowanie ...............................................................................................................161
Rozwiązania w skrócie ...................................................................................................163
Pytania i odpowiedzi ......................................................................................................164
Rozdział 4. Adaptive Security Device Manager ................................................167
Wprowadzenie ................................................................................................................167
Funkcje, ograniczenia i wymogi ....................................................................................168
Obsługiwane wersje sprzętu i oprogramowania PIX ...............................................169
Ograniczenia ASDM ................................................................................................170
Instalacja, konfiguracja i uruchomienie ASDM .............................................................171
Przygotowania do instalacji .....................................................................................172
Instalacja lub aktualizacja ASDM ...........................................................................172
Włączanie i wyłączanie ASDM ...............................................................................175
Uruchomienie ASDM ..............................................................................................176
Konfiguracja zapory sieciowej PIX przy użyciu ASDM ...............................................186
Korzystanie z kreatora Startup Wizard ....................................................................187
Konfiguracja właściwości systemu ..........................................................................191
Konfiguracja VPN za pomocą ASDM ...........................................................................214
Konfiguracja łączy VPN pomiędzy lokalizacjami za pomocą ASDM ....................215
Konfiguracja łącza VPN do dostępu zdalnego za pomocą ASDM ..........................219
Podsumowanie ...............................................................................................................227
Rozwiązania w skrócie ...................................................................................................227
Pytania i odpowiedzi ......................................................................................................228
Rozdział 5. Inspekcja aplikacji ........................................................................231
Wprowadzenie ................................................................................................................231
Nowe funkcje PIX 7.0 ....................................................................................................232
Obsługa i zabezpieczanie protokołów ............................................................................233
TCP, UDP i ICMP w zaporach sieciowych PIX ......................................................234
Inspekcja protokołów warstwy aplikacji ...........................................................................235
Definiowanie klasy ruchu ........................................................................................235
Kojarzenie klasy ruchu z czynnością .......................................................................240
Dostosowanie parametrów inspekcji aplikacji .........................................................241
Wprowadzenie inspekcji na interfejsie ....................................................................241
Inspekcja HTTP .......................................................................................................246
Inspekcja FTP ..........................................................................................................247
Inspekcja ESMTP ....................................................................................................250
Inspekcja ICMP .......................................................................................................251
Protokoły do przesyłania głosu i wideo ...................................................................253
Podsumowanie ...............................................................................................................255
Rozwiązania w skrócie ...................................................................................................255
Pytania i odpowiedzi ......................................................................................................256
Rozdział 6. Filtrowanie, wykrywanie włamań i reagowanie na ataki ..................259
Wprowadzenie ................................................................................................................259
Filtrowanie komunikacji WWW i FTP ..........................................................................260
Filtrowanie URL ......................................................................................................260
Filtrowanie aktywnego kodu ....................................................................................268
Wykrywanie ataków TCP i reagowanie na nie ........................................................270
6 Cisco PIX. Firewalle
Wykrywanie włamań przez PIX ....................................................................................272
Obsługiwane sygnatury ............................................................................................273
Konfiguracja wykrywania włamań i inspekcji ........................................................275
Wyłączanie sygnatur ................................................................................................277
Konfiguracja unikania ..............................................................................................278
Reagowanie na ataki i ograniczanie skutków ................................................................278
Wprowadzanie limitów fragmentacji .......................................................................279
SYN FloodGuard .....................................................................................................280
Zapobieganie fałszowaniu IP ...................................................................................281
Inne metody zapobiegania, ograniczania skutków i reagowania na ataki
w systemie PIX ......................................................................................................282
Podsumowanie ...............................................................................................................285
Rozwiązania w skrócie ...................................................................................................285
Pytania i odpowiedzi ......................................................................................................287
Rozdział 7. Usługi ..........................................................................................289
Wprowadzenie ................................................................................................................289
Funkcjonalność DHCP ...................................................................................................289
Serwery DHCP .........................................................................................................290
Przekaznik DHCP ....................................................................................................292
Klienty DHCP ..........................................................................................................292
PPPoE .............................................................................................................................294
EasyVPN ........................................................................................................................296
Serwer EasyVPN .....................................................................................................296
Zapory sieciowe PIX i routing .......................................................................................297
Routing pojedynczej emisji ......................................................................................297
RIP ...........................................................................................................................298
OSPF ........................................................................................................................300
NAT jako mechanizm routingu ...............................................................................300
Routing multiemisji .................................................................................................301
BGP przez zaporę sieciową PIX ..............................................................................303
Kolejkowanie i ograniczanie ruchu ................................................................................303
Podsumowanie ...............................................................................................................304
Rozwiązania w skrócie ...................................................................................................304
Pytania i odpowiedzi ......................................................................................................306
Rozdział 8. Konfiguracja uwierzytelniania, autoryzacji i rozliczania ...................307
Wprowadzenie ................................................................................................................307
Polecenia nowe i zmienione w wersji 7.0 ................................................................308
Pojęcia związane z AAA ................................................................................................309
Uwierzytelnianie ......................................................................................................311
Autoryzacja ..............................................................................................................312
Rozliczanie ...............................................................................................................313
Protokoły zabezpieczeń AAA ..................................................................................313
Serwery AAA .................................................................................................................319
Konfiguracja uwierzytelniania konsoli ..........................................................................320
Konfiguracja uwierzytelniania lokalnego ................................................................321
Konfiguracja autoryzacji poleceń ...................................................................................325
Konfiguracja lokalnej autoryzacji poleceń ..............................................................326
Konfiguracja uwierzytelniania konsoli w usługach RADIUS i TACACS+ ..................327
Konfiguracja autoryzacji poleceń w usłudze TACACS+ ........................................330
Konfiguracja uwierzytelniania dla ruchu przechodzącego przez zaporę sieciową ............333
Konfiguracja proxy typu cut-through ......................................................................333
Wirtualny HTTP ......................................................................................................336
Wirtualny Telnet ......................................................................................................338
Spis treści 7
Konfiguracja autoryzacji dla ruchu przechodzącego przez zaporę sieciową .................339
Konfiguracja rozliczania dla ruchu przechodzącego przez zaporę sieciową .................340
Podsumowanie ...............................................................................................................341
Rozwiązania w skrócie ...................................................................................................342
Pytania i odpowiedzi ......................................................................................................344
Rozdział 9. Zarządzanie zaporą sieciową PIX ...................................................347
Wprowadzenie ................................................................................................................347
Konfiguracja rejestrowania zdarzeń ...............................................................................348
Poziomy rejestrowania zdarzeń ...............................................................................349
Komunikaty syslog zarzucone i zmienione w porównaniu z wersją 6.x .................350
yródła komunikatów ................................................................................................356
Rejestrowanie lokalne ..............................................................................................357
Rejestrowanie zdalne przez syslog ..........................................................................358
Wyłączanie wybranych komunikatów .....................................................................363
Konfiguracja dostępu zdalnego ......................................................................................364
SSH ..........................................................................................................................365
Telnet .......................................................................................................................371
Konfiguracja protokołu SNMP ......................................................................................373
Konfiguracja identyfikacji systemu .........................................................................374
Konfiguracja odpytywania .......................................................................................375
Konfiguracja pułapek ...............................................................................................377
Zarządzanie SNMP w systemie PIX ........................................................................377
Konfiguracja systemowego czasu i daty ........................................................................378
Ustawienie i weryfikacja zegara i strefy czasowej ..................................................379
Konfiguracja i weryfikacja NTP ..............................................................................381
Zarządzenie Cisco PIX za pomocą ASDM ..............................................................385
Podsumowanie ...............................................................................................................387
Rozwiązania w skrócie ...................................................................................................388
Pytania i odpowiedzi ......................................................................................................390
Rozdział 10. Konfiguracja wirtualnych sieci prywatnych .....................................391
Wprowadzenie ................................................................................................................391
Co nowego w PIX 7.0? ..................................................................................................392
Pojęcia IPsec ............................................................................................................393
Konfiguracja VPN pomiędzy lokalizacjami ..................................................................404
Dostęp zdalny  konfiguracja Cisco Software VPN Client .........................................421
Włączenie IKE i tworzenie pakietu zabezpieczeń ISAKMP ...................................422
Definiowanie zestawu przekształceń .......................................................................422
Mapy kryptografii ....................................................................................................422
Grupy tuneli i zasady grup .......................................................................................423
Konfiguracja puli adresów .......................................................................................424
Tunelowanie dzielone ..............................................................................................424
Problemy z NAT ......................................................................................................425
Uwierzytelnianie w usługach RADIUS, TACACS+, SecurID lub Active Directory .....425
Automatyczna aktualizacja klientów .......................................................................426
Konfiguracja wymogu zapory sieciowej u klienta ...................................................427
Przykładowe konfiguracje PIX i klientów VPN ......................................................427
Podsumowanie ...............................................................................................................430
Rozwiązania w skrócie ...................................................................................................431
Pytania i odpowiedzi ......................................................................................................432
8 Cisco PIX. Firewalle
Rozdział 11. Konfiguracja failover .....................................................................435
Wprowadzenie ................................................................................................................435
Pojęcia w technice failover ............................................................................................436
Wymogi ....................................................................................................................436
Tryby aktywny-pasywny i aktywny-aktywny .........................................................437
Aącze failover ...........................................................................................................438
Failover z zachowaniem stanu .................................................................................440
Wykrywanie awarii ..................................................................................................441
Konfiguracja synchronizacji i replikacji poleceń ....................................................442
Używane adresy IP i MAC ......................................................................................443
Konfiguracja i monitorowanie .......................................................................................445
Konfiguracja i monitorowanie failover aktywny-pasywny z użyciem łącza
szeregowego ..........................................................................................................445
Konfiguracja i monitorowanie failover aktywny-pasywny z użyciem LAN ...........451
Konfiguracja failover aktywny-aktywny z użyciem łącza szeregowego .................454
Konfiguracja failover aktywny-aktywny z użyciem LAN .......................................455
Zaawansowane sterowanie i konfiguracje failover ........................................................455
Wymuszanie failover ...............................................................................................456
Wyłączenie failover .................................................................................................456
Uwierzytelnianie i szyfrowanie failover ..................................................................456
Replikacja HTTP .....................................................................................................457
Parametry wykrywania awarii .................................................................................457
Blokowanie failover .................................................................................................459
Podsumowanie ...............................................................................................................459
Rozwiązania w skrócie ...................................................................................................460
Pytania i odpowiedzi ......................................................................................................462
Rozdział 12. Rozwiązywanie problemów i monitorowanie wydajności ..................463
Wprowadzenie ................................................................................................................463
Rozwiązywanie problemów ze sprzętem i okablowaniem ............................................465
Rozwiązywanie problemów sprzętowych z PIX .....................................................466
Rozwiązywanie problemów z okablowaniem PIX ..................................................476
Rozwiązywanie problemów z łącznością .......................................................................479
Sprawdzenie adresowania ........................................................................................480
Kontrola routingu .....................................................................................................482
Kontrola translacji ....................................................................................................486
Kontrola dostępu ......................................................................................................489
Rozwiązywanie problemów z IPsec ...............................................................................491
IKE ...........................................................................................................................492
IPsec .........................................................................................................................495
Rejestrowanie transmisji ................................................................................................498
Wyświetlanie zarejestrowanych pakietów ...............................................................499
Pobieranie zarejestrowanego ruchu .........................................................................500
Monitorowanie i rozwiązywanie problemów z wydajnością .........................................502
Monitorowanie wydajności procesora .....................................................................503
Monitorowanie wydajności pamięci ........................................................................507
Monitorowanie wydajności sieci .............................................................................509
Protokół IDENT a wydajność systemu PIX ............................................................510
Podsumowanie ...............................................................................................................511
Rozwiązania w skrócie ...................................................................................................512
Pytania i odpowiedzi ......................................................................................................514
Skorowidz .....................................................................................515
Rozdział 3.
W tym rozdziale:
Konteksty bezpieczeństwa
Absolutne minimum: ruch wychodzący
Otwarcie dostępu do sieci z zewnątrz
Wyjściowe ACL (nowe)
Czasowe ACL (nowe)
Kontrola NAT (nowe)
Omijanie NAT
Policy NAT
Grupowanie obiektów
Podsumowanie
Rozwiązania w skrócie
Pytania i odpowiedzi
Wprowadzenie
Po wyciągnięciu zapory sieciowej PIX z pudełka, podłączeniu, uruchomieniu i skon-
figurowaniu podstawowych parametrów systemu, większość administratorów zajmu-
jących się zabezpieczeniami najpierw konfiguruje odpowiednie przepuszczanie ruchu
(tzn. zgodne z zasadami bezpieczeństwa firmy). Zapora sieciowa blokująca cały ruch
jak popadnie nie służy niczemu. Aby odpowiednio zabezpieczała sieć, musi filtrować
122 Cisco PIX. Firewalle
ruch w obu kierunkach, przychodzący i wychodzący. Podstawową zasadą konfiguracji
zapory sieciowej jest przepuszczanie tylko pożądanego ruchu i blokowanie niechcia-
nego. Idea prosta, lecz nie zawsze łatwa w realizacji.
Niniejszy rozdział opisuje podstawy niezbędne do przepuszczania ruchu przez zapory
sieciowe Cisco PIX. Jedną z najważniejszych podstaw jest translacja adresów, która
występuje w dwóch odmianach: statycznej i dynamicznej. Po skonfigurowaniu trans-
lacji system PIX będzie automatycznie zezwalał na wszystkie połączenia z interfejsu
o wyższym poziomie bezpieczeństwa do interfejsu o niższym poziomie bezpieczeństwa
i blokował wszystkie połączenia z interfejsu o niższym poziomie bezpieczeństwa do
interfejsu o wyższym poziomie bezpieczeństwa. Aby bardziej szczegółowo kontrolować
dostęp, można dopuszczać i blokować określone typy ruchu za pomocą list dostępu.
Decyzje o przepuszczaniu i blokowaniu określonych transmisji składają się na reguły
zapory sieciowej, zwykle w formie listy dostępu. Niezależnie od tego, czy konfigu-
rujemy reguły dla ruchu wychodzącego, czy przychodzącego, proces ogólnie wygląda
tak samo:
1. Konfiguracja translacji adresów.
2. Zdefiniowanie listy dostępu i zastosowanie jej do interfejsu.
Musimy zapewnić, że użytkownicy będą mieli dostęp do wymaganych usług sieciowych
przez zaporę. Musimy też zapewnić dostępność zewnętrznych usług jednej lub wielu
społecznościom użytkowników. Wprawdzie proces filtrowania ruchu przychodzącego
i wychodzącego wygląda tak samo, lecz szczegóły czynności się różnią.
Zapory sieciowe Cisco PIX udostępniają kilka funkcji przydatnych w zarządzaniu
ruchem, w tym:
Grupowanie obiektów, upraszczające konfigurację i utrzymanie list dostępu.
Czasowe ACL.
Rejestrowanie zdarzeń list dostępu.
Włączanie i wyłączanie wpisów w ACL.
Kontrola NAT.
NAT dla określonych adresów zródłowych  Policy NAT.
W treści niniejszego rozdziału przedstawimy przykłady ilustrujące poszczególne pole-
cenia. Opiszemy też złożone studium przypadku, które utrwali wprowadzone pojęcia.
Konteksty bezpieczeństwa
Czy nie przydałoby się czasem sklonować zaporę sieciową Cisco PIX? Obsłużyć w sieci
dwa zupełnie odmienne zestawy zasad bezpieczeństwa, na przykład jeden dla działu
finansowego (bardzo restrykcyjny), a drugi dla działu informatycznego (wszystko wolno)?
Rozdział 3. f& Działanie zapory sieciowej PIX 123
Firma Cisco posłuchała użytkowników i w wersji 7.0 zaimplementowała coś, co otrzy-
mało nazwę kontekstów bezpieczeństwa (ang. security contexts). Każdy skonfigurowany
kontekst bezpieczeństwa ma własne zasady bezpieczeństwa, interfejsy i obsługiwane
funkcje. Oznacza to, że nie wszystkie funkcje zapory sieciowej są obsługiwane w kon-
tekstach bezpieczeństwa. Do niedostępnych w przypadku więcej niż jednego kontekstu
stosowanego w urządzeniu należą:
protokoły routingu dynamicznego,
VPN,
multiemisje.
Gdy system PIX uruchomiony w trybie pojedynczego kontekstu jest konwertowany
do trybu wielokontekstowego, we wbudowanej pamięci flash zostaje utworzony nowy
plik o nazwie admin.cfg. Jest to domyślny kontekst bezpieczeństwa administratora.
Możemy przechowywać dodatkowe konteksty w tej samej pamięci flash lub pobierać
je przez system PIX z sieci z użyciem TFTP, FTP lub HTTP(S).
Przy konwersji z trybu pojedynczego kontekstu bezpieczeństwa do trybu wielu kon-
tekstów bezpieczeństwa oryginalna konfiguracja startowa nie zostaje zapisana, więc
podczas pracy z kontekstami bezpieczeństwa należy zawsze wykonywać kopie
robocze. Uruchomiona konfiguracja jest wykorzystywana do utworzenia dwóch
nowych plików kontekstów bezpieczeństwa.
Do przełączenia zapory sieciowej Cisco PIX w tryb wielu kontekstów bezpieczeństwa
służy polecenie mode. Opcje dostępne dla tego polecenia są następujące:
PIX1(config)# mode ?
configure mode commands/options:
multiple Multiple mode; mode with security contexts
noconfirm Do not prompt for confirmation
single Single mode; mode without security contexts
PIX1(config)#
Przejście z trybu pojedynczego do wielokrotnego wygląda tak:
PIX1(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!!
The old running configuration file will be written to flash
The admin context configuration will be written to flash
The new running configuration f
***
*** --- SHUTDOWN NOW ---
***
124 Cisco PIX. Firewalle
*** Message to all terminals:
***
*** change mode
file was written to flash
Security context mode: multiple
Rebooting...
Po potwierdzeniu urządzenie Cisco PIX uruchomi się ponownie, aby włączyć nowy
tryb. Możemy potwierdzić stan urządzenia poleceniem show:
PIX1# show mode
Security context mode: multiple
PIX1#
Aby powrócić do pojedynczego kontekstu bezpieczeństwa, trzeba skopiować oryginalną
konfigurację (zrobiłeś kopię zapasową, prawda?) do pamięci flash:
PIX1# copy flash:old_running.cfg startup-config
Teraz możemy wrócić do trybu pojedynczego:
PIX1(config)# mode single
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
Absolutne minimum: ruch wychodzący
Po ukończeniu wstępnej konfiguracji podstawowym zadaniem jest dopuszczenie ruchu
wychodzącego (np. z sieci wewnętrznej do zewnętrznej). Połączenia wychodzące to
takie, które odbywają się z interfejsu o wyższym poziomie bezpieczeństwa (np. sieci
wewnętrznej organizacji) do interfejsu o niższym poziomie bezpieczeństwa (np. sieci
zewnętrznej, takiej jak Internet). Wymaga to albo skonfigurowania translacji adresów,
albo jawnego wyłączenia jej. Po skonfigurowaniu translacji adresów, jeśli nie zostały
zastosowane żadne listy dostępu, to domyślnie cały ruch wychodzący jest dozwolony.
Jest to podstawowa funkcja Adaptive Security Algorithm (ASA) i powód, dla którego
poziomy bezpieczeństwa są tak ważne. Ponieważ PIX przeprowadza inspekcje stanu,
po nawiązaniu połączenia wychodzącego transmisje powrotne należące do tego połą-
czenia są dopuszczane z interfejsu o niższym poziomie bezpieczeństwa do interfejsu
o wyższym poziomie bezpieczeństwa.
Metoda szczegółowego sterowania ruchem wychodzącym opiera się na:
Skonfigurowaniu dynamicznej translacji adresów.
Zdefiniowaniu listy dostępu i zastosowaniu jej do interfejsu PIX
(opcjonalnie).
Rozdział 3. f& Działanie zapory sieciowej PIX 125
W wersji 7.0 wymóg zdefiniowania zasad translacji adresów przed dopuszczeniem
ruchu sieciowego z hostów wewnętrznych do zewnętrznych został wyeliminowany
dzięki funkcji kontroli NAT. W nowszych konfiguracjach (np. w nowej instalacji PIX
używającej systemu 7.0) reguły translacji nie są wymagane, a funkcja kontroli NAT
jest automatycznie wyłączana poleceniem no nat-control. W konfiguracjach aktu-
alizowanych (np. istniejąca zapora sieciowa PIX zmodernizowana do wersji 7.0)
reguły translacji są wymagane, aby zachować funkcjonalność zdefiniowaną już
w konfiguracji, a funkcja kontroli NAT jest automatycznie włączona poleceniem
nat-control. Proszę zwrócić uwagę, że kontrola NAT jest czymś innym niż tożsa-
mościowa NAT (nat 0). Zobacz podrozdział  Kontrola NAT .
Konfiguracja dynamicznej translacji adresów
Translacja adresów jest pierwszym wymogiem przepuszczania ruchu wychodzącego.
Polega na mapowaniu przez NAT i (lub) PAT lokalnych adresów IP na globalne. Lo-
kalne adresy IP to te, które znajdują się w sieci chronionej przez PIX (np. wewnętrznej
sieci organizacji) i często należą do zakresów prywatnych adresów IP. Globalne adresy
IP stosowane są w sieci, do której podłączony jest zewnętrzny interfejs PIX, i często
są nimi publiczne, routowalne adresy IP. Konfiguracja translacji adresów powoduje
konwersję przez PIX lokalnych adresów IP na adresy globalne poprzez odpowiednie
podstawienie informacji w pakiecie. Po skonfigurowaniu NAT i (lub) PAT system PIX
automatycznie pozwala na przechodzenie w zaporze sieciowej ruchu sieciowego z inter-
fejsu o wyższym poziomie bezpieczeństwa do interfejsu o niższym poziomie bezpie-
czeństwa (czyli połączeń wychodzących). Oprócz tego PIX dopuszcza ruch powrotny
związany z tymi połączeniami wychodzącymi.
Konfiguracja NAT/PAT jest procesem złożonym z dwóch kroków:
1. Identyfikacja za pomocą polecenia nat lokalnych adresów, które będą
konwertowane.
2. Zdefiniowanie za pomocą polecenia global adresów globalnych, na które
będą konwertowane adresy lokalne.
Rekordy translacji adresów są nazywane translation slots (xlate) i przechowywane
są w tablicy translacji. Do wyświetlenia zawartości tej tablicy służy polecenie show
xlate. Licznik czasu xlate monitoruje zawartość tablicy translacji i usuwa rekordy
bezczynne od czasu dłuższego niż zdefiniowany limit czasowy. Domyślnie wartość
tego limitu wynosi trzy godziny. Można go zmienić poleceniem timeout xlate i zwe-
ryfikować poleceniem show running-config timeout xlate.
Składnia polecenia nat wygląda następująco:
nat (rzeczywisty_int) numer_nat rzeczywisty_ip [maska [dns] [outside] [[tcp]
maks_poł_tcp [limit_emb] [norandomseq]]] [udp maks_poł_udp]
Opcje i parametry polecenia nat:
Parametr rzeczywisty_int wskazuje interfejs będący zródłem transmisji podlegających
translacji. Musi być zgodny z nazwą zdefiniowaną dla interfejsu poleceniem nameif.
126 Cisco PIX. Firewalle
Parametr nat_id jest liczbą całkowitą z zakresu od 0 do 65 535, która tworzy mapo-
wanie pomiędzy lokalnym adresem IP (rzeczywisty_ip), zidentyfikowanym przez
polecenie nat, oraz globalnym adresem IP wskazanym przez polecenie global. Iden-
tyfikator 0 jest specjalny i służy do oznaczenia, że nie chcemy translacji wskazanych
adresów lokalnych: adresy lokalne i globalne są takie same.
Parametr maska w połączeniu z rzeczywisty_ip służy do wskazania adresów IP prze-
znaczonych do translacji. Użycie opcjonalnego słowa kluczowego dns powoduje
translację adresów zawartych w odpowiedziach DNS przy użyciu aktywnych wpisów
w tablicy translacji. Opcjonalne słowo kluczowe outside pozwala na translację adre-
sów zewnętrznych.
Opcjonalne słowo kluczowe tcp pozwala skonfigurować kilka parametrów związanych
z TCP. Parametr maks_poł_tcp definiuje maksymalną dopuszczalną liczbę równocze-
snych aktywnych połączeń TCP, natomiast limit_emb wskazuje, ile równoczesnych
połączeń półotwartych TCP jest dozwolonych. Dla obu wartość domyślna wynosi 0, co
oznacza nieograniczoną liczbę połączeń. Zbyt wiele takich połączeń może być wynikiem
ataku DoS, którego skutki może zminimalizować wartość limit_emb.
Domyślnie podczas translacji adresów zapora sieciowa PIX generuje też losowe numery
sekwencyjne segmentów TCP. Użycie opcjonalnego słowa kluczowego norandomseq
wyłącza tę funkcję, co może być przydatne (a nawet niezbędne) przy dwukrotnej trans-
lacji adresów (np. gdy na trasie komunikacji stosowane są dwie zapory sieciowe), gdzie
wielokrotne losowanie numeru nie jest pożądane.
Opcjonalne słowo kluczowe udp konfiguruje związany z UDP parametr max_poł_udp,
który definiuje maksymalną dozwoloną liczbę równoczesnych aktywnych  połączeń
UDP.
Z uwagi na bezstanowy charakter protokołu nie istnieje coś takiego jak  połączenie
UDP. Zapora sieciowa PIX jest stanowa i może zezwalać na ruch powrotny w odpo-
wiedzi na datagram UDP. Bezstanowa natura UDP jest też powodem, dla którego nie
istnieje parametr limit_emb dla słowa kluczowego udp, jak dla słowa kluczowego
tcp. W UDP nie istnieją połączenia półotwarte.
Po wskazaniu poleceniem nat lokalnych adresów, które mają podlegać translacji,
musimy zdefiniować adresy globalne, na które te adresy lokalne będą konwertowane.
Do tego celu służy polecenie global:
global (mapowany_int) nat_id {mapowany_ip [-mapowany_ip] [netmask
mapowana_maska]]}interface
Parametr mapowany_int definiuje interfejs wyjściowy dla ruchu wychodzącego.
Parametr nat_id kojarzy jedną lub więcej instrukcji nat z instrukcją global.
Parametr mapowany_ip definiuje globalne adresy IP przeznaczone do translacji. Jeśli
podamy tylko jeden adres IP, przeprowadzana będzie translacja portów i adresów (PAT).
Jeśli wskażemy zakres adresów (przez - mapowany_ip), będzie używana translacja NAT,
Rozdział 3. f& Działanie zapory sieciowej PIX 127
dopóki będą dostępne adresy globalne. Po wyczerpaniu tej puli przeprowadzana będzie
translacja PAT.
Słowo kluczowe netmask jest kojarzone z zakresem mapowany_ip w celu zdefiniowa-
nia maski podsieci. Wskazuje ona zakres poprawnych adresów globalnych, których
może używać PIX, i zapewnia, że urządzenie nie będzie do translacji używać adresów
rozgłoszeniowych ani adresów sieci.
Jeśli globalny adres IP, który ma zostać użyty, jest przypisany do interfejsu (np. inter-
fejsu zewnętrznego PIX), można go wskazać słowem kluczowym interface zamiast
parametru mapowany_ip.
Użycie poleceń nat i global możemy zilustrować na przykładzie fikcyjnej organizacji.
Nasza zmyślona firma Secure Corporation musi połączyć siecią trzy lokalizacje i za-
pewnić swoim pracownikom dostęp do Internetu. Firma nie ma własnych publicznych
adresów IP i musi w swoich sieciach wewnętrznych używać adresów prywatnych, zdefi-
niowanych w RFC 1918. Adresy te nie są routowalne i nie można ich używać w sie-
ciach publicznych, np. w Internecie. Secure Corporation używa adresów prywatnych,
ponieważ nie chce być zmuszona do zmiany adresowania w przypadku zmiany dostawcy
usług internetowych. Dzięki tym adresom firma może zmieniać publiczny adres IP, gdy
wymagają tego okoliczności, a wymaga to od niej tylko skojarzenia nowych adresów
IP z adresami prywatnymi. Strukturę sieci przedstawia rysunek 3.1. (Uwaga: sieć
192.168.0.0/16 należy do zakresu adresów prywatnych, lecz w niniejszym rozdziale
będzie reprezentować przestrzeń publicznych adresów IP. Proszę pamiętać o tym
podczas dalszej lektury).
Rysunek 3.1.
Translacja adresów
sieciowych
Z rysunku 3.1 wynika, że każdej lokalizacji została przydzielona 24-bitowa sieć z zakresu
zdefiniowanego w RFC 1918. Są to odpowiednio sieci 172.16.1.0/24, 172.16.2.0/24
i 172.16.3.0/24. Dostawca usług internetowych do każdej lokalizacji przydzielił 24-bitową
podsieć (odpowiednio 192.168.1.0/24, 192.168.2.0/24 i 192.168.3.0/24), która musi być
mapowana na zakres adresów prywatnych. Poniższa konfiguracja pozwala na mapowanie
do każdego węzła unikatowego publicznego adresu IP, dynamicznie przydzielanego
128 Cisco PIX. Firewalle
z puli zdefiniowanej dla każdej lokalizacji. Transmisje, które mają podlegać translacji,
są identyfikowane poleceniem nat, a następnie mapowane na pulę publicznych adresów
IP, zdefiniowaną poleceniem global:
PIX1(config)# nat (inside) 1 172.16.1.0 255.255.255.0
PIX1(config)# global (outside) 1 192.168.1.1-192.168.1.254 netmask 255.255.255.0
PIX1(config)# nat (inside) 2 172.16.2.0 255.255.255.0
PIX1(config)# global (outside) 2 192.168.2.1-192.168.2.254 netmask 255.255.255.0
PIX1(config)# nat (inside) 3 172.16.3.0 255.255.255.0
PIX1(config)# global (outside) 3 192.168.3.1-192.168.3.254 netmask 255.255.255.0
PIX1(config)# exit
PIX1# clear xlate
Polecenie clear xlate służy do usunięcia zawartości tablicy translacji. Powinno
być wykonane po każdej zmianie konfiguracji translacji; w przeciwnym razie ryzyku-
jemy pozostawieniem przestarzałych wpisów w tablicy. Należy jednak pamiętać, że
to polecenie jednocześnie przerywa wszystkie bieżące połączenia, które korzystały
z translacji.
Możemy teraz sprawdzić poprawność konfiguracji, używając poleceń show running-config
nat i show running-config global:
PIX1# show running-config nat
nat (inside) 1 172.16.1.0 255.255.255.0
nat (inside) 2 172.16.2.0 255.255.255.0
nat (inside) 3 172.16.3.0 255.255.255.0
PIX1# show running-config global
global (outside) 1 192.168.1.1-192.168.1.254 netmask 255.255.255.0
global (outside) 2 192.168.2.1-192.168.2.254 netmask 255.255.255.0
global (outside) 3 192.168.3.1-192.168.3.254 netmask 255.255.255.0
W tym prostym, lecz mało realistycznym przykładzie dostawca usług internetowych
przydzielił wystarczająco dużo adresów publicznych, by pozwolić na mapowanie 1:1
pomiędzy adresami lokalnymi i globalnymi. A jak wyglądałaby sytuacja, gdyby do-
stawca usług nie dał wystarczającej liczby adresów publicznych? Zmodyfikujmy nasz
przykład. Teraz ISP przyznał firmie Secure Corp. pojedynczy zakres adresów sieci
24-bitowej (192.168.1.0/24). Zamiast oddzielnej puli globalnej dla każdej lokalizacji
mamy jedną, wspólną pulę, co oznacza, że potrzebna jest PAT. Translacja PAT po-
zwala mapować wiele adresów IP na jeden adres, dzięki temu, że obejmuje zarówno
adres IP, jak i port zródłowy. Konfiguracja będzie teraz wyglądać następująco:
PIX1(config)# nat (inside) 1 172.16.1.0 255.255.255.0
PIX1(config)# nat (inside) 1 172.16.2.0 255.255.255.0
PIX1(config)# nat (inside) 1 172.16.3.0 255.255.255.0
PIX1(config)# global (outside) 1 192.168.1.1-192.168.1.254 netmask 255.255.255.0
PIX1(config)# exit
PIX1# clear xlate
PAT pozwala na używanie DNS, FTP, HTTP, poczty, RPC, RSH, Telnet, filtrowania URL
i wychodzących poleceń traceroute. Nie współpracuje z H.323, buforującymi ser-
werami nazw i PPTP.
Rozdział 3. f& Działanie zapory sieciowej PIX 129
Aby włączyć NAT dla większej liczby interfejsów, należy użyć osobnych poleceń global
dla każdego interfejsu. Kluczem jest ten sam id dla wszystkich poleceń global, pozwa-
lający na mapowanie przez jeden zestaw poleceń nat dla interfejsów z translacją pry-
watnego adresu IP na jeden z kilku różnych zakresów adresów globalnych na podstawie
miejsca przeznaczenia. Na przykład, poniższe polecenia konfigurują w PIX translację
sieci 172.16.1.0 albo na adresy 192.168.1.0/24, albo przez PAT na adres IP interfejsu
strefy zdemilitaryzowanej, zależnie od tego, przez który interfejs pakiet ma wyjść:
PIX1(config)# nat (inside) 1 172.16.1.0 255.255.255.0
PIX1(config)# global (outside) 1 192.168.1.1-192.168.1.254 netmask 255.255.255.0
PIX1(config)# global (dmz) 1 interface
PIX1(config)# exit
PIX1# clear xlate
Podobnie jak dla większości poleceń w zaporze sieciowej PIX, słowo kluczowe no użyte
z poleceniami nat i global usuwa ustawienia z konfiguracji.
Blokowanie ruchu wychodzącego (definiowanie ACL)
Bez dodatkowej konfiguracji PIX pozwala na wysyłanie wszelkiego ruchu z interfejsów
o wyższym poziomie bezpieczeństwa do interfejsów o niższym poziomie bezpieczeń-
stwa. Jeśli chcemy zablokować jakiś ruch wychodzący, to musimy zrobić to jawnie.
Kontrola nad ruchem wychodzącym, który ma prawo przejść przez zaporę sieciową PIX,
zawsze stanowi element dobrze zaprojektowanych zasad bezpieczeństwa. W wersji 7.0
do tego celu służy tylko jedno narzędzie: listy dostępu.
W starszych wersjach oprogramowania PIX można było dodatkowo blokować ruch
wychodzący poleceniem outbound. W wersji 7.0 zostało ono całkowicie zastąpione
poleceniem access-list i nie jest już obsługiwane. Firma Cisco do pewnego czasu
odradzała używania poleceń outbound, więc nie powinno to być niespodzianką.
Istniejące polecenia outbound nie są automatycznie konwertowane na polecenia
access-list. Punkt  Polecenia conduit i outbound zawiera więcej informacji na
ten temat oraz opis, jak konwertować polecenia outbound na access-list.
Listy dostępu
Listy dostępu w zaporach sieciowych PIX są bardzo podobne do stosowanych w ro-
uterach Cisco i mogą być używane do ograniczania ruchu sieciowego na podstawie
kilku kryteriów, w tym adresu zródłowego, adresu docelowego, zródłowych portów
TCP/UDP i docelowych portów TCP/UDP. Konfiguracja list dostępu jest procesem
złożonym z dwóch kroków:
1. Zdefiniowanie listy dostępu przez utworzenie poleceniem access-list instrukcji
permit i deny.
2. Zastosowanie listy dostępu do interfejsu poleceniem access-group.
Polecenie access-list obsługuje trzy różne podstawowe klasy protokołów: IP, TCP/UDP
i ICMP. Dla każdej klasy ma nieco inną składnię:
130 Cisco PIX. Firewalle
access-list numer_ACL [line nr_linii] [extended] {deny}permit] protokół {host
zródłowe_IP}zródłowe_IP maska}any] {host docelowe_IP}docelowe_IP maska}any]
access-list numer_ACL [line nr_linii] [extended] {deny}permit] {tcp}udp] {host
zródłowe_IP}zródłowe_IP maska}any] [operator port] {host docelowe_IP}docelowe_IP
maska}any] [operator port]
access-list numer_ACL [line nr_linii] [extended] {deny}permit] icmp {host
zródłowe_IP}zródłowe_IP maska}any] {host docelowe_IP}docelowe_IP maska}any]
[typ_icmp]
Poniżej przedstawiamy parametry i słowa kluczowe wspólne dla wszystkich trzech
odmian składni access-list. Parametry i słowa kluczowe dotyczące konkretnych wersji
składni zostaną omówione w następnych punktach.
Parametr numer_ACL identyfikuje listę dostępu i może nim być nazwa albo liczba.
Listy dostępu są przetwarzane sekwencyjnie od pierwszej pozycji do ostatniej. Pierwszy
pasujący wpis zostaje zastosowany, a dalsze przetwarzanie jest wstrzymywane.
Słowo kluczowe line i parametr nr_linii pozwalają wstawiać wpisy na określonych
pozycjach listy dostępu.
Słowo kluczowe extended identyfikuje rozszerzoną listę dostępu, która pozwala wska-
zywać zródłowe i docelowe adresy i porty IP.
yródłowy adres IP jest definiowany parametrem zródłowe_IP i identyfikuje zródło
transmisji.
Docelowy adres IP jest definiowany parametrem docelowe_IP i identyfikuje miejsce
przeznaczenia transmisji.
Parametr maska wskazuje liczbę bitów maski podsieci stosowanej do parametru
zródłowe_IP lub docelowe_IP.
Słowo kluczowe any oznacza wszystkie sieci lub hosty i jest odpowiednikiem sieci
0.0.0.0 i maski 0.0.0.0.
Słowo kluczowe host, po którym następuje adres IP, wskazuje pojedynczego hosta.
Składnia list dostępu w zaporach sieciowych PIX jest bardzo podobna do stoso-
wanej w routerach IOS. Podstawowa różnica polega na tym, że w listach dostępu
zapór sieciowych stosowane są standardowe maski podsieci, a w routerach odwró-
cone (wildcard). Na przykład, przy blokowaniu 24-bitowej podsieci w zaporze sieciowej
PIX użyjemy maski 255.255.255.0, a w routerze Cisco maski 0.0.0.255.
Parametry i słowa kluczowe access-list dla protokołu IP
W składni polecenia access-list dla protokołu IP parametr protokół wskazuje protokół
IP. Można podać wartość liczbową lub nazwę literałową. Tabela 3.1 przedstawia nie-
które dostępne nazwy literałowe.
Rozdział 3. f& Działanie zapory sieciowej PIX 131
Tabela 3.1. Literałowe nazwy protokołów i wartości
Literał Wartość Opis
ah 51 Authentication Header for IPv6, RFC 1826
eigrp 88 Enhanced Interior Gateway Routing Protocol
esp 50 Encapsulated Security Payload for IPv6, RFC 1827
gre 47 Generic Routing Encapsulation
icmp 1 Internet Control Message Protocol, RFC 792
igmp 2 Internet Group Management Protocol, RFC 3228
igrp 9 Interior Gateway Routing Protocol
ip 0 Internet Protocol
ipinip 4 Ekapsulacja IP-in-IP
nos 94 Network Operating System (NetWare firmy Novell)
ospf 89 Protokół routingu Open Shortest Path First, RFC 1247
pcp 108 Payload Compression Protocol
snp 109 Sitara Networks Protocol
tcp 6 Transmission Control Protocol, RFC 793
udp 17 User Datagram Protocol, RFC 768
Parametry i słowa kluczowe access-list dla protokołów TCP i UDP
W składni polecenia access-list dla protokołów TCP i UDP parametry i słowa klu-
czowe mają następujące znaczenie:
Słowa kluczowe tcp i udp wskazują, czy dany wpis listy dostępu dotyczy ruchu TCP,
czy UDP.
operator i port wskazują porty zródłowy i docelowy.
Aby wskazać wszystkie porty, nie trzeba podawać operatora i portu.
Aby wskazać pojedynczy port, należy użyć jako operatora słowa kluczowego eq.
Aby wskazać wszystkie porty o numerach niższych niż podany, należy użyć jako ope-
ratora słowa kluczowego lt.
Aby wskazać wszystkie porty o numerach wyższych niż podany, należy użyć jako
operatora słowa kluczowego gt.
Aby wskazać wszystkie porty z wyjątkiem jednego, należy użyć jako operatora słowa
kluczowego neq.
Aby wskazać zakres portów, należy użyć jako operatora słowa kluczowego range.
Port może być wskazany z podaniem liczby lub nazwy. Listę nazw portów przedsta-
wia tabela 3.2.
132 Cisco PIX. Firewalle
Tabela 3.2. Literałowe nazwy portów i wartości
Nazwa Protokół Port Nazwa Protokół Port Nazwa Protokół Port
bgp TCP 179 http TCP 80 radius UDP 1812
biff UDP 512 hostname TCP 101 rip UDP 520
bootpc UDP 68 ident TCP 113 smtp TCP 25
bootps UDP 67 irc TCP 194 snmp UDP 161
chargen TCP 19 isakmp UDP 500 snmptrap UDP 162
citrix-ica TCP 1494 klogin TCP 543 sqlnet TCP 1521
cmd TCP 514 kshell TCP 544 sunrpc TCP, UDP 111
daytime TCP 13 login TCP 513 syslog UDP 514
discard TCP, UDP 9 lpd TCP 515 tacacs TCP, UDP 49
dnsix UDP 195 mobile-ip UDP 434 talk TCP, UDP 517
domain TCP, UDP 53 nameserver UDP 42 telnet TCP 23
echo TCP, UDP 7 netbios-dgm UDP 138 tftp UDP 69
exec TCP 512 netbios-ns UDP 137 time UDP 37
finger TCP 79 nntp TCP 119 uucp TCP 540
ftp TCP 21 ntp UDP 123 who UDP 513
ftp-data TCP 20 pim-auto-rp TCP, UDP 496 whois TCP 43
gopher TCP 70 pop2 TCP 109 www TCP 80
h323 TCP 1720 pop3 TCP 110 xdmcp UDP 177
Proszę zauważyć, że zdefiniowane w systemie mapowanie http jest takie samo jak
www i jest tłumaczone na nie w konfiguracji.
Parametry i słowa kluczowe access-list dla protokołu ICMP
W składni polecenia access-list dla protokołu ICMP parametry i słowa kluczowe
mają następujące znaczenie:
Słowo kluczowe icmp oznacza, że dany wpis listy dostępu dotyczy ruchu ICMP.
Parametr typ_icmp identyfikuje typ komunikatu ICMP i może być wskazany z poda-
niem liczby lub nazwy. Listę typów komunikatów ICMP i odpowiadających im nazw
literałowych przedstawia tabela 3.3.
Po skonfigurowaniu listy dostępu należy zastosować ją do interfejsu poleceniem:
access-group access-list {in}out] interface nazwa_interfejsu
Parametry i słowa kluczowe polecenia access-group są następujące:
Parametr access-list definiuje, które instrukcje listy dostępu mają stosować się do
interfejsu. Wartość tego parametru musi odpowiadać numer_ACL (nazwie) wskazanej
w poprzednich poleceniach access-list.
Rozdział 3. f& Działanie zapory sieciowej PIX 133
Tabela 3.3. Typy komunikatów ICMP
Typ ICMP Literał
0 echo-reply
3 unreachable
4 source-quench
5 redirect
6 alternate-address
8 echo
9 router-advertisement
10 router-solicitation
11 time-exceeded
12 parameter-problem
13 timestamp-reply
14 timestamp-request
15 information-request
16 information-reply
17 mask-request
18 mask-reply
31 conversion-error
32 mobile-redirect
Słowo kluczowe in albo out służy do wskazania, czy lista dostępu dotyczy pakietów
przychodzących do interfejsu (in), czy wychodzących z interfejsu (out).
Słowo kluczowe interface i parametr nazwa_interfejsu wskazuje interfejs, do którego
mają stosować się instrukcje access-list.
Zastosowanie listy dostępu do interfejsu poleceniem access-group dopuszcza lub blokuje
ruch wchodzący do wskazanego interfejsu.
W starszych wersjach oprogramowania PIX listy dostępu w zaporze sieciowej mogły
być stosowane tylko do ruchu przychodzącego do interfejsu przez użycie słowa klu-
czowego in. W wersji 7.0 listy dostępu mogą też obowiązywać dla ruchu wycho-
dzącego z interfejsu, jeśli użyjemy słowa kluczowego out.
Listy dostępu mają na końcu ukrytą instrukcję deny all. Jeśli dana transmisja nie jest
wprost dozwolona przez listę dostępu, to zostanie zablokowana. Możemy tworzyć bardzo
złożone listy dostępu, po prostu podążając za przepływem tego, co powinno być do-
zwolone lub nie. Dla pojedynczego interfejsu może być jednocześnie stosowana tylko
jedna lista dostępu.
134 Cisco PIX. Firewalle
Przyjrzyjmy się teraz naszej fikcyjnej firmie Secure Corp., która właśnie kupiła nową
zaporę sieciową PIX dla swojej sieci w Nowym Jorku, jak na rysunku 3.2. Klienty w tej
sieci znajdują się po stronie interfejsu wewnętrznego PIX (pojedyncza sieć 172.16.1.0/24),
natomiast serwery w strefie zdemilitaryzowanej (sieć 10.1.1.0/24). ISP przydzielił firmie
do użytku sieć publiczną 192.168.1.0/24.
Rysunek 3.2.
Lista dostępu
dla ruchu
wychodzącego
Wewnętrzne klienty nie powinny mieć prawa wysyłania określonych typów transmisji,
na przykład związanych z drogami infekcji przez złośliwe oprogramowanie. Obejmuje
to protokół służący do udostępniania plików CIFS/SMB (ang. Common Internet File
System/Server Message Block), bootp, SNMP (ang. Simple Network Management Pro-
tocol), SQL*Net, Kazaa i sieci P2P. Poza tymi typami ruchu sieciowego, wprost zabro-
nionymi, klienty powinny mieć nieograniczony dostęp do Internetu.
Serwery w DMZ powinny mieć dostęp do Internetu wyłącznie przy użyciu protokołów,
które obsługują ich podstawowe funkcje. Na przykład, serwer poczty elektronicznej
powinien mieć prawo do wysyłania i odbierania transmisji SMTP (ang. Simple Mail
Transfer Protocol), serwer WWW powinien mieć prawo do wysyłania i odbierania
tylko HTTP (ang. HyperText Transfer Protocol) i HTTP przez SSL (HTTPS), a serwer
DNS tylko ruchu związanego z usługą DNS (ang. Domain Name Service).
Rozdział 3. f& Działanie zapory sieciowej PIX 135
Interfejs DMZ ma wyższy poziom bezpieczeństwa niż interfejs zewnętrzny, więc wszelki
ruch inicjowany przez serwery DMZ w stronę Internetu będzie domyślnie dozwolony.
Chcemy zastosować do serwerów w DMZ te same ograniczenia co dla klientów we-
wnętrznych. Ponieważ z serwerów nikt nie powinien przeglądać WWW, firma zdefinio-
wała zasadę zakazującą wychodzącego ruchu WWW (tzn. HTTP i HTTPS) z serwerów
w DMZ.
Wymogi firmy Secure Corporation mogą zaspokoić dwie listy dostępu ruchu wycho-
dzącego: jedna dla interfejsu wewnętrznego i jedna dla interfejsu DMZ. Poniższe po-
lecenia definiują i wprowadzają do użytku listę dostępu wychodzącego dla interfejsu
wewnętrznego:
PIX1(config)# access-list NO_INaIce_O-l deny tcp any any ee 135
PIX1(config)# access-list NO_INaIce_O-l deny udp any any ee 135
PIX1(config)# access-list NO_INaIce_O-l deny udp any any ee netbios-ns
PIX1(config)# access-list NO_INaIce_O-l deny udp any any ee netbios-dgm
PIX1(config)# access-list NO_INaIce_O-l deny tcp any any ee netbios-ssn
PIX1(config)# access-list NO_INaIce_O-l deny udp any any ee 139
PIX1(config)# access-list NO_INaIce_O-l deny tcp any any ee 445
PIX1(config)# access-list NO_INaIce_O-l deny udp any any ee 445
PIX1(config)# access-list NO_INaIce_O-l deny udp any any ee tftp
PIX1(config)# access-list NO_INaIce_O-l deny udp any any ee bootpc
PIX1(config)# access-list NO_INaIce_O-l deny udp any any ee bootps
PIX1(config)# access-list NO_INaIce_O-l deny udp any any ee snmp
PIX1(config)# access-list NO_INaIce_O-l deny udp any any ee snmptrap
PIX1(config)# access-list NO_INaIce_O-l deny tcp any any ee selnet
PIX1(config)# access-list NO_INaIce_O-l deny tcp any any ee 1214
PIX1(config)# access-list NO_INaIce_O-l deny tcp any any ee 3408
PIX1(config)# access-list NO_INaIce_O-l deny tcp any any ee 3531
PIX1(config)# access-list NO_INaIce_O-l permit any any
PIX1(config)# access-group NO_INaIce_O-l in interface inside
PIX1(config)# exit
Poniższe polecenia definiują i wprowadzają do użytku listę dostępu wychodzącego dla
interfejsu DMZ, która różni się od listy dla interfejsu wewnętrznego przede wszystkim
tym, że blokuje ruch WWW:
PIX1(config)# access-list NO_cMZ_O-l deny tcp any any ee 135
PIX1(config)# access-list NO_cMZ_O-l deny udp any any ee 135
PIX1(config)# access-list NO_cMZ_O-l deny udp any any ee netbios-ns
PIX1(config)# access-list NO_cMZ_O-l deny udp any any ee netbios-dgm
PIX1(config)# access-list NO_cMZ_O-l deny tcp any any ee netbios-ssn
PIX1(config)# access-list NO_cMZ_O-l deny udp any any ee 139
PIX1(config)# access-list NO_cMZ_O-l deny tcp any any ee 445
PIX1(config)# access-list NO_cMZ_O-l deny udp any any ee 445
PIX1(config)# access-list NO_cMZ_O-l deny udp any any ee tftp
PIX1(config)# access-list NO_cMZ_O-l deny udp any any ee bootpc
PIX1(config)# access-list NO_cMZ_O-l deny udp any any ee bootps
PIX1(config)# access-list NO_cMZ_O-l deny udp any any ee snmp
PIX1(config)# access-list NO_cMZ_O-l deny udp any any ee snmptrap
PIX1(config)# access-list NO_cMZ_O-l deny tcp any any ee selnet
PIX1(config)# access-list NO_cMZ_O-l deny tcp any any ee 1214
PIX1(config)# access-list NO_cMZ_O-l deny tcp any any ee 3408
PIX1(config)# access-list NO_cMZ_O-l deny tcp any any ee 3531
PIX1(config)# access-list NO_cMZ_O-l deny tcp any any ee www
136 Cisco PIX. Firewalle
PIX1(config)# access-list NO_cMZ_O-l deny tcp any any eq https
PIX1(config)# access-list NO_cMZ_O-l permit tcp 10.1.1.1 any eq smtp
PIX1(config)# access-list NO_cMZ_O-l permit tcp 10.1.1.3 any eq dns
PIX1(config)# access-list NO_cMZ_O-l permit udp 10.1.1.3 any eq dns
PIX1(config)# access-group NO_cMZ_O-l in interface cMZ
PIX1(config)# exit
Należy wspomnieć, że nie zajęliśmy się jeszcze konfiguracją ruchu przychodzącego.
Powyższe listy dostępu jedynie pozwalają serwerom inicjować kontakt z innymi ser-
werami, tak jak klientom. Na przykład, serwer poczty może wysyłać wiadomości do
innej domeny, lecz nie może odbierać poczty. Serwer DNS może rozwiązywać nazwy
z innych domen, lecz nie może odpowiadać na zapytania z innej domeny. W podrozdziale
 Otwarcie dostępu do sieci z zewnątrz omówimy szczegółowo konfigurację ruchu
przychodzącego.
Jedną z funkcji przydatnych podczas konfiguracji PIX jest polecenie name, które ma-
puje nazwę (alias) na adres IP. Podczas konfiguracji, zamiast wskazywać hosta przez
adres IP, możemy użyć nazwy. To może pomóc w konfiguracji i rozwiązywaniu pro-
blemów ze złożonymi konfiguracjami. Może też ułatwić zmiany adresów: nazwa po-
zostaje, lecz adres IP można zmienić bez modyfikacji list dostępu. Składnia polecenia
wygląda tak:
name adres_ip nazwa
Na przykład, poniższe polecenia mapują nazwy emailserver, webserver i dnsserver
odpowiednio na adresy IP 10.1.1.1, 10.1.1.2 i 10.1.1.3:
PIX1(config)# name 10.1.1.1 emailserver
PIX1(config)# name 10.1.1.2 webserver
PIX1(config)# name 10.1.1.3 dnsserver
Teraz zamiast adresów IP będziemy mogli posługiwać się nazwami emailserver, web-
server i dnsserver.
Otwarcie dostępu do sieci z zewnątrz
Prędzej czy pózniej, w każdej sieci zajdzie potrzeba umożliwienia niezaufanym i nie-
znanym hostom inicjowania sesji z naszymi zaufanymi i chronionymi urządzeniami
 np. z serwerami. Na przykład, użytkownicy z Internetu mogą chcieć nawiązywać
połączenia z naszymi serwerami w DMZ. Zapora sieciowa PIX nie byłaby specjalnie
przydatna, gdyby nie umożliwiała przepuszczania i kontroli ruchu z niezaufanych
zródeł do sieci zawierających krytyczne systemy, na przykład serwer WWW firmy.
ASA w systemie PIX traktuje ruch przychodzący (z interfejsu o niższym poziomie
bezpieczeństwa do interfejsu o wyższym poziomie bezpieczeństwa) inaczej niż ruch
wychodzący.
W przeciwieństwie do wychodzącego, ruch przychodzący jest domyślnie blokowany.
Gwarantuje to, że granice zdefiniowane przez poziomy bezpieczeństwa interfejsów są
realne i nie są omijane. Podobnie jak w przypadku ruchu wychodzącego, konfiguracja
Rozdział 3. f& Działanie zapory sieciowej PIX 137
ruchu przychodzącego jest procesem złożonym z dwóch kroków. Należy zdefiniować
translację statyczną i utworzyć listę dostępu, która będzie dopuszczać przychodzące
transmisje.
Polecenie conduit zostało w wersji 7.0 całkowicie zastąpione przez listy dostępu.
Firma Cisco odradzała użycie tego polecenia już w wersjach 6.x, więc nie powinno
to być większą niespodzianką.
Statyczna translacja adresów
Gdy publicznie dostępny serwer (w miarę możliwości położony w DMZ) jest chroniony
przez zaporę sieciową PIX, trzeba wprost pozwolić na połączenia z interfejsu o niższym
poziomie bezpieczeństwa do interfejsu o wyższym poziomie bezpieczeństwa. Dopusz-
czenie ruchu przychodzącego zaczyna się od skonfigurowania statycznej translacji adre-
sów. Polecenie static mapuje trwale globalne adresy IP na lokalne. Składnia polecenia
wygląda tak:
static (rzeczywisty_int, mapowany_int) {mapowany_ip}interface] {rzeczywisty_ip
[netmask maska]]}{access-list nazwa_listy_dost] [dns] [norandomseq [nailed]]
[[tcp][max_poł_tcp [limit_emb]] [udp max_poł_udp]
Parametry i słowa kluczowe polecenia static są następujące:
Parametr rzeczywisty_int wskazuje interfejs, z którym połączony jest serwer podle-
gający translacji.
Parametr mapowany_int wskazuje interfejs mapowanego globalnego adresu IP. Jest to
interfejs, na którym udostępniamy urządzenie (np. serwer).
Parametr mapowany_ip jest globalnym adresem IP, który powinien posłużyć do translacji.
Parametr rzeczywisty_ip jest lokalnym adresem IP, który powinien podlegać translacji.
Zwykle jest to rzeczywisty adres urządzenia (np. serwera), które udostępniamy.
Słowo kluczowe netmask i parametr maska są używane przy jednoczesnej translacji
statycznej więcej niż jednego adresu IP.
Wartość domyślna parametrów max_poł_tcp, limit_emb i max_poł_udp wynosi 0 (bez
ograniczeń). Ich znaczenie jest takie samo jak w poleceniu nat.
Na rysunku 3.3 firma Secure Corporation ma trzy serwery w sieci DMZ. Poniższe
polecenia static ustanawiają statyczną translację adresów dla tych serwerów:
PIX1(config)# static (dmz, outside) 192.168.1.1 10.1.1.1 netmask 255.255.255.255 0 0
PIX1(config)# static (dmz, outside) 192.168.1.2 10.1.1.2 netmask 255.255.255.255 0 0
PIX1(config)# static (dmz, outside) 192.168.1.3 10.1.1.3 netmask 255.255.255.255 0 0
138 Cisco PIX. Firewalle
Rysunek 3.3.
Statyczna translacja
adresów
Polecenia te definiują translację niezbędną, by serwery w DMZ były dostępne pod adre-
sami 192.168.1.1, 192.168.1.2 i 192.168.1.3. Jeśli DMZ zawiera większą liczbę serwe-
rów, to zamiast konfigurować osobny wpis dla każdego, możemy użyć pojedynczego
polecenia static z odpowiednią maską podsieci. Na przykład, dla czternastu serwerów
w DMZ o IP od 10.1.1.1 do 10.1.1.14 polecenie będzie wyglądać tak:
PIX1(config)# static (dmz, outside) 192.168.1.0 10.1.1.0 netmask 255.255.255.240 0 0
Rozważmy teraz scenariusz, w którym serwer WWW położony w DMZ musi korzystać
z serwera baz danych połączonego z interfejsem wewnętrznym PIX, jak na rysunku 3.3.
Proces wygląda tak samo: zawsze gdy interfejs o niższym poziomie bezpieczeństwa
wymaga dostępu do interfejsu o wyższym poziomie bezpieczeństwa, trzeba zdefinio-
wać statyczną translację. Poniższa konfiguracja przekłada rzeczywisty adres wewnętrz-
nego serwera baz danych (172.16.1.10) na adres dostępny dla serwera WWW w DMZ
(10.1.1.10):
PIX1(config)# static (inside, dmz) 10.1.1.10 172.168.1.10 netmask 255.255.255.240 0 0
Rozdział 3. f& Działanie zapory sieciowej PIX 139
Sama translacja statyczna nie wystarczy, by umożliwić komunikację z niższego do
wyższego poziomu bezpieczeństwa  musimy zdefiniować listę dostępu, która będzie
jawnie zezwalała na nią. Polecenie static tworzy tylko statyczne mapowanie pomiędzy
globalnym i lokalnym adresem IP. Domyślną czynnością dla transmisji przychodzących
jest jej odrzucenie, więc naszym następnym krokiem musi być utworzenie listy dostępu,
która wpuści komunikację do zapory sieciowej PIX.
Listy dostępu
Tworzenie listy dostępu zezwalającej na ruch przychodzący wygląda podobnie jak przy
ruchu wychodzącym. Składnia polecenia wraz ze wszystkimi parametrami jest taka sama.
Podstawowa różnica polega na tym, że aby zezwolić na komunikację z niższego do
wyższego poziomu bezpieczeństwa, musimy najpierw skonfigurować translację sta-
tyczną. Dla przykładu Security Corp. z rysunku 3.3 zdefiniujemy i zastosujemy dwie
listy dostępu: jedną, która zezwala na komunikację z Internetu do serwerów w DMZ,
i drugą, która zezwala na komunikację z serwera WWW w DMZ z wewnętrznym ser-
werem baz danych.
Poniższe polecenia definiują i wprowadzają listę dostępu dla komunikacji wchodzącej
z Internetu do sieci DMZ:
PIX1(config)# access-list INleRNel_lO_cMZ permit tcp any host 192.168.1.1 eq smtp
PIX1(config)# access-list INleRNel_lO_cMZ permit tcp any host 192.168.1.2 eq web
PIX1(config)# access-list INleRNel_lO_cMZ permit tcp any host 192.168.1.2 eq https
PIX1(config)# access-list INleRNel_lO_cMZ permit tcp any host 192.168.1.3 eq dns
PIX1(config)# access-list INleRNel_lO_cMZ permit udp any host 192.168.1.3 eq dns
PIX1(config)# access-group INleRNel_lO_cMZ in interface Outside
PIX1(config)# exit
Poniższe polecenia definiują i stosują listę dostępu z DMZ do sieci wewnętrznej:
PIX1(config)# access-list cMZ_lO_INaIce permit tcp host 10.1.1.2 host 10.1.1.10 eq
sqlnet
PIX1(config)# access-group cMZ_lO_INaIce in interface cMZ
PIX1(config)# exit
Przypominamy, że na końcu każdej listy dostępu znajduje się ukryta reguła deny all.
Gwarantuje ona, że komunikacja z interfejsu o niższym poziomie bezpieczeństwa do
interfejsu o wyższym poziomie bezpieczeństwa, która nie została wprost dopuszczo-
na, będzie zablokowana. W naszym przykładzie lista dostępu DMZ_TO_INSIDE dopusz-
cza tylko komunikację SQL*Net pomiędzy serwerem WWW w DMZ i wewnętrznym
serwerem baz danych. W instrukcji access-list zostały podane adresy IP, zarówno
zródłowy, jak i docelowy. Dla interfejsu można zastosować tylko jedną listę dostępu
(w jednym kierunku), a lista DMZ_TO_INSIDE musi być połączona z instrukcjami listy
dostępu NO_DMZ_OUT z poprzedniego podrozdziału, aby spełnić wymogi zasad bezpie-
czeństwa pożądane przez Secure Corporation.
140 Cisco PIX. Firewalle
Listy dostępu ICMP
ICMP jest użytecznym protokołem diagnostycznym, znanym najlepiej chyba z dwóch
narzędzi: ping i traceroute. Oba narzędzia generują komunikaty ICMP i używają odpo-
wiedzi do ustalenia osiągalności urządzenia i trasy do niego. Niewystarczająco kon-
trolowany ICMP może też być dla napastników najbardziej przydatnym narzędziem do
infiltrowania organizacji. Na dodatek niektóre protokoły mogą potrzebować ICMP do
odkrywania tras lub stwierdzania osiągalności hosta przed nawiązaniem sesji. Wszystko
to razem powoduje, że rozwiązywanie problemów z ICMP jest niełatwe. Brak odpo-
wiedzi ICMP może oznaczać problem z siecią albo fakt, że zapora pełni swoje zadanie
 chroni nasze sieci.
Z tego powodu zapory sieciowe PIX domyślnie blokują ICMP, z pewnymi wyjątka-
mi: urządzenia mogą sprawdzać poleceniem ping bezpośrednio podłączone interfejsy
urządzenia zapory sieciowej. Urządzenia mogą sprawdzać się nawzajem przez ping,
o ile transmisja nie przechodzi przez zaporę sieciową. Komunikacja ICMP z sieci ze-
wnętrznej do każdego interfejsu o wyższym poziomie bezpieczeństwa jest domyślnie
blokowana. Zanim otworzymy dostęp ICMP przez zaporę sieciową, musimy ustalić,
jakie transmisje i pomiędzy którymi sieciami są potrzebne. Jeśli coś nie ma dla nas
wartości, to nie powinno być dozwolone.
Stosowane są dwa podejścia do przepuszczania komunikacji ICMP przez PIX:
Listy dostępu  ICMP jest protokołem bezpołączeniowym, więc potrzebujemy
list dostępu, zezwalających na ICMP w obu kierunkach (stosując listy zarówno
do interfejsów zródłowych, jak i docelowych).
Mechanizm inspekcji ICMP  musimy włączyć mechanizm inspekcji
ICMP, który traktuje konwersacje ICMP jak połączenia mające stan. Mechanizm
inspekcji ICMP używa MPF (ang. Modular Policy Framework)  nowej
funkcji oprogramowania PIX 7.0.
W niniejszym rozdziale pokażemy, jak za pomocą list dostępu pozwalać na przecho-
dzenie ICMP przez PIX. W przykładzie z rysunku 3.4 chcemy, by urządzenia z sieci
wewnętrznej mogły sprawdzać poleceniami ping i traceroute urządzenia w sieci DMZ.
Domyślnie komunikacja ICMP z sieci wewnętrznej do DMZ jest dozwolona, więc nie
musimy stosować listy dostępu dla interfejsu wewnętrznego. Aby przepuścić transmisje
powrotne z DMZ, musimy zezwolić na następujące transmisje:
Dla poleceń ping wydawanych z DMZ pakiety ICMP Echo z sieci wewnętrznej
na zewnątrz są domyślnie dozwolone, lecz musimy przepuścić pakiety ICMP
Echo Reply z DMZ do sieci wewnętrznej.
Dla poleceń traceroute z sieci wewnętrznej do DMZ pakiety wychodzące są
domyślnie przepuszczane, lecz musimy jeszcze dopuścić pakiety ICMP Time
Exceeded z DMZ do sieci wewnętrznej.
Rozdział 3. f& Działanie zapory sieciowej PIX 141
Rysunek 3.4.
Listy kontroli dostępu
ICMP
Osiągniemy to następującymi poleceniami:
PIX1(config)# access-list cMZ_PING_lRACe permit icmp 10.1.1.0 255.255.255.0
172.16.0.0 255.255.240.0 echo-reply
PIX1(config)# access-list cMZ_PING_lRACe permit icmp 10.1.1.0 255.255.255.0
172.16.0.0 255.255.240.0 time-exceeded
PIX1(config)# access-group cMZ_PING_lRACe in interface cMZ
PIX1(config)# exit
Przekierowanie portów
Przekierowanie portów pozwala na wykorzystanie jednego publicznego adresu IP dla
więcej niż jednego serwera. Można za jego pomocą zdefiniować mapowanie pomiędzy
portem w publicznym adresie IP i portem w prywatnym adresie IP. Aby umożliwić
przekierowanie, musimy jednak utworzyć listę dostępu, ponieważ komunikacja odbywa
się z interfejsu o niższym poziomie bezpieczeństwa do interfejsu o wyższym poziomie
bezpieczeństwa.
Ponieważ mapowanie może odbywać się na poziomie portów, jeden adres IP może
służyć jako brama dla wielu serwerów za zaporą sieciową PIX. Na przykład, firma
Secure Corp. zainstalowała sieć w swojej siedzibie w Toronto, gdzie otrzymała tylko
jeden publiczny adres IP od ISP. W tej lokalizacji firma ma dwa serwery WWW, jeden
142 Cisco PIX. Firewalle
serwer Telnet i jeden serwer FTP. Jak może udostępnić wszystkie te usługi przez jeden
adres IP? Odpowiedz brzmi: dokonując przekierowania portów poleceniem static:
static (rzeczywisty_int, mapowany_int) {tcp}udp] {mapowany_ip}interface]
mapowany_port {rzeczywisty_ip rzeczywisty_port [netmask maska]]}{access-list
nazwa_listy_dost] [dns] [norandomseq [nailed]] [[tcp][max_poł_tcp [limit_emb]] [udp
max_poł_udp]
Omówiliśmy już wcześniej polecenie static, więc nie będziemy ponownie opisywać
tych samych parametrów. W powyższej składni wprowadziliśmy jednak kilka nowych
parametrów:
Słowa kluczowe tcp i udp służą do wskazania statycznego przekierowania
portu TCP lub UDP przez statyczną PAT.
Parametry mapowany_port i rzeczywisty_port wskazują odpowiednio port
mapowany (tzn. zewnętrzny port dostępny spoza PIX) i port rzeczywisty
(tzn. faktyczny port nasłuchujący w serwerze).
Zamiast parametru mapowany_ip możemy użyć słowa kluczowego interface,
aby wskazać adres IP interfejsu PIX zdefiniowanego w parametrze mapowany_int.
Ta opcja jest ważna, jeśli nie mamy żadnych dodatkowych publicznych
adresów IP, nadających się do użytku.
Aby skonfigurować przekierowanie portów dla pierwszego serwera WWW z użyciem
publicznego adresu IP urządzenia PIX jako adresu publicznego serwera WWW, uży-
jemy polecenia:
PIX1(config)# static (dmz, outside) tcp interface 80 10.1.1.1 80
Jeśli firma chce też udostępniać Telnet, FTP i jeszcze jeden serwer WWW, to musimy
dodać jeszcze trzy polecenia static, mapujące globalne porty na właściwe serwery.
Ponieważ port WWW jest już zajęty, do łączenia się z drugim serwerem WWW został
wybrany port z wysokiego zakresu (8080). Ten przykład został zilustrowany na rysun-
ku 3.5. Dodatkowe polecenia to:
PIX1(config)# static (dmz, outside) tcp interface 23 10.1.1.2 23
PIX1(config)# static (dmz, outside) tcp interface 21 10.1.1.3 21
PIX1(config)# static (dmz, outside) tcp interface 8080 10.1.1.4 80
Włączanie i wyłączanie wpisów w ACL (nowe)
W oprogramowaniu PIX w wersji 7.0 została dodana możliwość tymczasowego wy-
łączania wpisów na liście dostępu bez usuwania ich z pliku konfiguracyjnego. Jest to
potężne narzędzie do rozwiązywania problemów i precyzyjnego  dostrajania list kon-
troli dostępu. Przy rozwiązywaniu problemów z komunikacją przez zaporę sieciową
PIX, jeśli nie mamy pewności, który wpis kontroli dostępu stwarza problem, możemy
selektywnie wyłączać wpisy, dodając słowo kluczowe inactive w odpowiedniej instruk-
cji access-list. Tak samo możemy tymczasowo wyłączyć wpis, który może się przydać
w przyszłości. Na przykład, aby wyłączyć wpis w ACL zezwalający na przychodzący
ruch WWW do serwera WWW w strefie zdemilitaryzowanej, użyjemy polecenia:
PIX1(config)# access-list INleRNel_lO_cMZ permit tcp any host 10.1.1.2 eq 80
inactive
PIX1(config)# exit
Rozdział 3. f& Działanie zapory sieciowej PIX 143
Rysunek 3.5.
Przekierowanie
portów
Wyjściowe ACL (nowe)
Listy dostępu mogą być używane do filtrowania niepewnych transmisji wychodzących,
na przykład CIFS, TFTP, bootp, SNMP, SQL*Net, Kazaa i sieci P2P. We wcześniej-
szym przykładzie utworzyliśmy i zastosowaliśmy listy dostępu dla interfejsów wewnętrz-
nego i DMZ, blokujące te transmisje w stronę Internetu. To prowadzi nas do nowej
funkcji oprogramowania PIX 7.0, nazwanej  Outbound ACL (wyjściowe listy kontroli
dostępu). W poprzednich wersjach systemu operacyjnego PIX listy dostępu mogły być
stosowane tylko do pakietów przychodzących na interfejs. W wersji 7.0 dzięki funkcji
wyjściowych ACL listy dostępu mogą być stosowane zarówno do pakietów przycho-
dzących, jak i wychodzących z interfejsu. Dla jednego interfejsu możemy jednak zasto-
sować tylko jedną ACL w każdym kierunku.
W kontekście wyjściowych ACL pojęcia połączeń  przychodzących i  wychodzących
mają inne znaczenie niż przy opisywaniu przepływu transmisji przez granice sieci.
W wyjściowych ACL dotyczy to list kontroli dostępu dla konkretnego interfejsu i komu-
nikacji przychodzącej do urządzenia PIX albo wychodzącej z niego. W przypadku
przekraczania granic sieci komunikacja  przychodząca oznacza przepływ z inter-
fejsu o niższym poziomie bezpieczeństwa do interfejsu o wyższym poziomie bez-
pieczeństwa, a  wychodząca na odwrót.
Do implementowania wyjściowych ACL służy polecenie access-group ze słowem
kluczowym out zamiast in:
access-group access-list out interface nazwa_interfejsu
144 Cisco PIX. Firewalle
W poprzednim przykładzie Secure Corporation utworzyliśmy i zastosowaliśmy wej-
ściowe listy dostępu dla interfejsów wewnętrznego i DMZ, zapobiegające wejściu do
PIX tej komunikacji o wysokim poziomie zagrożenia. Zamiast tego możemy utworzyć
pojedynczą wyjściową listę dostępu i zastosować ją do interfejsu zewnętrznego PIX,
zapobiegając wyjściu z PIX tej komunikacji o wysokim poziomie zagrożenia. Takie
rozwiązanie, przedstawione na rysunku 3.6, jest o wiele bardziej skalowalne, ponieważ
lista dostępu jest tworzona i stosowana tylko raz, niezależnie od liczby interfejsów.
W poprzednich wersjach systemu trzeba było wprowadzać odpowiednie wpisy kontro-
lujące dostęp do osobnych ACL dla każdego interfejsu.
Rysunek 3.6.
Wyjściowe ACL
Konfiguracja wyjściowych ACL dla Secure Corporation będzie wyglądać tak:
PIX1(config)# access-list NO_HIGHRIaK_O-l deny tcp any any eq 135
PIX1(config)# access-list NO_HIGHRIaK_O-l deny udp any any eq 135
PIX1(config)# access-list NO_HIGHRIaK_O-l deny udp any any eq netbios-ns
PIX1(config)# access-list NO_HIGHRIaK_O-l deny udp any any eq netbios-dgm
PIX1(config)# access-list NO_HIGHRIaK_O-l deny tcp any any eq netbios-ssn
PIX1(config)# access-list NO_HIGHRIaK_O-l deny udp any any eq 139
PIX1(config)# access-list NO_HIGHRIaK_O-l deny tcp any any eq 445
PIX1(config)# access-list NO_HIGHRIaK_O-l deny udp any any eq 445
PIX1(config)# access-list NO_HIGHRIaK_O-l deny udp any any eq tftp
PIX1(config)# access-list NO_HIGHRIaK_O-l deny udp any any eq bootpc
PIX1(config)# access-list NO_HIGHRIaK_O-l deny udp any any eq bootps
Rozdział 3. f& Działanie zapory sieciowej PIX 145
PIX1(config)# access-list NO_HIGHRIaK_O-l deny udp any any eq snmp
PIX1(config)# access-list NO_HIGHRIaK_O-l deny udp any any eq snmptrap
PIX1(config)# access-list NO_HIGHRIaK_O-l deny tcp any any eq sqlnet
PIX1(config)# access-list NO_HIGHRIaK_O-l deny tcp any any eq 1214
PIX1(config)# access-list NO_HIGHRIaK_O-l deny tcp any any eq 3408
PIX1(config)# access-list NO_HIGHRIaK_O-l deny tcp any any eq 3531
PIX1(config)# access-list NO_HIGHRIaK_O-l permit any any
PIX1(config)# access-group NO_HIGHRIaK_O-l out interface Outside
PIX1(config)# exit
Czasowe ACL (nowe)
W wersji 7.0 została dodana obsługa czasowych ACL, w których poszczególne wpisy
mogą być konfigurowane jako aktywne i egzekwowane we wskazanym okresie. Ta
nowa funkcjonalność jest implementowana poprzez nowe polecenie time-range i roz-
szerzenie istniejącego polecenia access-list o nowe słowo kluczowe (time-range).
Aby wprowadzić czasowe ograniczenia wpisu w liście dostępu, należy:
1. Zdefiniować przedział czasu nowym poleceniem time-range.
2. Utworzyć lub zmodyfikować wpis w liście dostępu tak, aby używał tego
przedziału czasowego, słowem kluczowym time-range w poleceniu access-list.
Polecenie time-range ma składnię:
time-range nazwa
Parametr nazwa przypisuje nazwę do definiowanego przedziału czasowego. Po wpro-
wadzeniu tego polecenia przechodzimy do trybu konfiguracji przedziału czasowego.
W tym trybie parametry czasowe definiowane są poleceniami absolute, periodic i no.
Polecenie absolute definiuje czas bezwzględny, w którym będzie obowiązywać wpis
w liście dostępu. Jego składnia wygląda tak:
absolute [end czas data] [start czas data]
Znaczenie słów kluczowych start i end jest oczywiste.
Parametr czas ma format GG:MM (np. 20:00), a data ma format dzień miesimc rok
(np. 1 January 2006).
Polecenie periodic definiuje powtarzające się okresy, w których przedział czasu będzie
obowiązywał. Ma następującą składnię:
periodic dni-tygodnia czas to [dni-tygodnia] czas
Parametry i słowa kluczowe polecenia periodic mają następującą formę:
Pierwsze wystąpienie parametru dni-tygodnia wskazuje początkowy dzień tygodnia
przedziału czasowego. Potencjalną wartością parametru może być dowolny pojedynczy
dzień lub kombinacja dni: Monday, Tuesday, Wednesday, Thursday, Friday, Saturday
i Sunday. Oprócz tego dopuszczalne są jeszcze wartości:
146 Cisco PIX. Firewalle
daily (codziennie),
weekends (weekendy),
weekdays (dni robocze).
Drugie wystąpienie parametru dni-tygodnia wskazuje końcowy dzień tygodnia dla
przedziału czasowego. Jest opcjonalne i może być pominięte, jeśli zakres zaczyna się
i kończy w tym samym dniu.
Pierwsze wystąpienie parametru czas wskazuje początek przedziału czasowego, nato-
miast drugie oznacza zakończenie przedziału i nie jest opcjonalne. Parametr czas ma
format GG:MM (np. 20:00). W pojedynczym poleceniu time-range dozwolone jest stoso-
wanie większej liczby poleceń periodic. Oprócz tego, gdy dla polecenia time-range
są wskazane zarówno wartości absolute, jak i periodic, polecenia periodic są ewa-
luowane jedynie w okresie bezwzględnego przedziału czasowego, a nie poza nim.
Polecenie no przywraca domyślne ustawienia konfiguracji dla słów kluczowych absolute
i periodic polecenia time-range  przed wcześniej wpisanym poleceniem wstawiamy
słowo kluczowe no.
Działanie funkcji przedziałów czasowych zależy oczywiście od dokładności zegara
PIX. Zalecana jest synchronizacja zegara PIX z serwerem NTP.
Teraz, po zdefiniowaniu przedziału czasowego poleceniem time-range, musimy użyć
go do wskazania okresu aktywności wpisu w liście dostępu za pomocą polecenia
access-list. Ogólna składnia polecenia dla pracy z przedziałami czasowymi ma postać:
access-list numer_ACL [line nr_linii] [extended] {deny}permit] {tcp}udp] {host
zródłowe_IP}zródłowe_IP maska}any] [operator port] {host docelowe_IP}docelowe_IP
maska}any] [operator port] time-range nazwa_przedziału
Sposób użycia list dostępu został omówiony w niniejszym rozdziale już wcześniej.
Aby instrukcja access-list była aktywna tylko we wskazanym przedziale czasu, wy-
starczy dodać słowo kluczowe time-range i parametr nazwa_przedziału, którym jest
nazwa zdefiniowana wcześniej poleceniem time-range.
Załóżmy na przykład, że firma Secure Corporation zainstalowała w strefie zdemilita-
ryzowanej serwer FTP jako punkt pośredni wymiany plików, jak na rysunku 3.7. Wy-
miana danych przez FTP odbywa się każdej nocy w dni robocze o wskazanej godzinie.
Firma nie chce niepotrzebnie udostępniać serwera FTP, gdy nie jest używany, więc
zostały zaimplementowane czasowe ACL, które pozwalają na komunikację FTP do
i z serwera tylko wtedy, gdy jest to potrzebne.
Istniejąca lista dostępu INTERNET_TO_DMZ została rozbudowana za pomocą poleceń:
PIX1(config)# static (dmz, outside) 192.168.1.4 10.1.1.4 netmask 255.255.255.255 0 0
PIX1(config)# time-range PARlNeR_tlP_lIMe
PIX1(config-time-range)# periodic weekdays 20:00 to 22:00
PIX1(config-time-range)# exit
Rozdział 3. f& Działanie zapory sieciowej PIX 147
Rysunek 3.7.
Czasowe ACL
PIX1(config)# access-list INleRNel_lO_cMZ permit tcp any host 192.168.1.4 eq ftp
time-range PARlNeR_tlP_lIMe
PIX1(config)# access-list INleRNel_lO_cMZ permit tcp any host 192.168.1.4 eq ftp-
data time-range PARlNeR_tlP_lIMe
PIX1(config)# access-group INleRNel_lO_cMZ in interface Outside
PIX1(config)# exit
Kontrola NAT (nowe)
Wersja 7.0 upraszcza wprowadzanie PIX do eksploatacji, eliminując wymóg definio-
wania zasad translacji adresów przed pozwoleniem na wychodzenie komunikacji sie-
ciowej z hosta w sieci wewnętrznej do sieci zewnętrznych. Tę funkcję udostępnia nowe
polecenie nat-control. Po jej włączeniu poleceniem nat-control zostaje zachowany
uprzedni wymóg zdefiniowania reguł translacji przed dopuszczeniem komunikacji
z interfejsu wewnętrznego do interfejsu zewnętrznego PIX. Po wyłączeniu funkcji
poleceniem no nat-control reguły translacji nie są do tego wymagane.


Wyszukiwarka

Podobne podstrony:
Cisco PIX vs Checkpoint Firewall 1
CCNP Cisco Secure PIX Firewall Cramsession
Cisco Secure Pix Firewall Fundamentals
Cisco IOS Firewall Intrusion Detection System(1)
Configuring Cisco IOS Firewall Intrusion
bridge firewall pl 3
Cisco 1
cisco?na
CISCO CCNA Certifications CCNA 2 Module 6
Cisco 9
Cisco Press CCNP Routing Exam Certification Guide Appendix
Cisco 8

więcej podobnych podstron